プライバシーポリシー

 最初の御相談から最終のプライバシーポリシー完成まで

特定行政書士の伊奈川啓明が

一人で行います！！ 

プライバシーポリシー作成について、簡単なものから複雑なものまで、

私一人で完成させております。

プライバシーポリシー作成については、

国家資格（総務省）を有する行政書士へお任せ下さい！！

（行政書士は、御依頼者様に代わって、行政書士法に基づき

プライバシーポリシー等の法律文書の作成を専門的かつ合法的に行えます。）

次のような目的から近年、クラウドサービス、アプリサービス、学習塾、スポーツクラブ等のユーザーから個人情報を取得し、その個人情報を利用する場合の条件を対外的に明らかにするため、これらの各種サービスを提供する事業者がプライバシーポリシーを作成し、これを公表することが多くなっています。

(1)個人情報保護法で求められる公表等の義務を果たすため

(2)アプリサービスにおいてApple等のプラットフォーマーがプライバシーポリシーの設置を求めているため

(3)個人情報の不適切な運用を疑われることにより生じるレピュテーションリスクを低減させるため

ユーザーからプライバシーポリシーへの同意を得ることが多く行われているところ、この同意は、自分の個人情報がどのように取り扱われるかについての公法上の同意であり、私法上の同意とは異なるとされています。 

実務上は、私法上の同意を得ることを目的として作成された利用規約と公法上の同意を得ることを目的としてプライバシーポリシーが混在しているケースが多いですが、同意の性質が異なり、民法等の私法規定がプライバシーポリシーへ適用されるという誤解を避けるため、両者を分離しておくのが望ましいといえます。

もっとも、公法上の同意を得ることを目的としたプライバシーポリシーにおいても、プライバシー権の侵害となり得る行為について、本人がプライバシー権に基づく差止請求権及び損害賠償請求権を行使しないという意思表示が含まれていると考えられるため、プライバシーポリシーの同意の中に私法上の同意の性質もあるという見解もあります。　

なお、民法の定型約款の規定は、プライバシーポリシーに適用されないという見解が有力です。

個人情報保護法では、個人情報及びこれに関連する主な用語について、次のように定義付けています。

【個人情報】

生存する個人に関する情報であってその情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含みます。）又は顔認識データ、旅券番号その他の個人識別符号をいいます。

【要配慮個人情報】

本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいいます。

【個人情報データベース等】

特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの又は特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいいます。

【個人データ】

個人情報データベース等を構成する個人情報をいいます。

【保有個人データ】

開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいいます。

個人情報への該当性の具体例としては、次のようになります。

1.メールアドレス

「個人の氏名＠example.com」ようなメールアドレスについては、特定の個人を識別できるため、個人情報に該当します。ただし、「ニックネーム＠example.com」のようなメールアドレスについては、他の情報と容易に照合することができ、それにより特定の個人を識別することができる場合を除き、個人情報に該当しない形になります。

2.Cookie情報又は広告ID

Cookie情報又は広告IDについては、ブラウザ、スマートフォン等の端末を識別できるものに過ぎないため個人情報に該当しません。

3.顔写真

顔写真については、氏名が含まれなくても、特定の個人を識別できるため、個人情報に該当します。

4.録音音声

録音音声において、通話内容から特定の個人を識別することが可能な場合には、個人情報に該当します、

個人情報については、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」も含まれるところ、ある情報を第三者に提供する場合、その情報が個人情報に該当するか否かの判断については、提供元で行われます。

提供元にとって個人情報である情報を第三者に提供すれば、提供先においてその情報が個人情報でないとしても、個人情報の第三者提供に該当するものとして取り扱われます。

個人情報保護法に基づく公表等の義務を果たす場合の方法については、例えば、次のものがあります。

(1)ユーザーが閲覧することが合理的に予測される個人情報を取り扱う事業者のホームページにおいて、ユーザーが分かりやすい場所（例：ホームページのトップページから1回程度の操作で到達できる場所等）に法に定められた事項を分かりやすく継続的に掲載する方法

(2)ユーザーが来訪することが合理的に予測される事務所の窓口等への掲示、備付け等を継続的に行う方法

(3)ユーザーに頒布されている定期刊行物への定期的掲載を行う方法

プライバシーポリシーは、個人情報保護法で求められる公表等の義務を果たすために作成されるものであるため、ユーザーの同意は、必須ではありません。

ただし、個人情報保護法において、個人データを第三者へ提供する場合、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱う場合等一定の場合には、ユーザーの同意が必要になるため、あらかじめユーザーにプライバシーポリシーへ同意してもらう場合があります。

この点におけるユーザーの同意の取り方には、以下の方法が考えられます。

【同意の取り方】

(1)ユーザーからの同意する旨の口頭による意思表示

(2)ユーザーからの同意する旨の書面（電磁的記録を含みます。）の受領

(3)ユーザーからの同意する旨のメールの受信

(4)ユーザーによる同意する旨の確認欄へのチェック

(5)ユーザーによる同意する旨のホームページ上のボタンのクリック

(6)ユーザーによる同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力

なお、ユーザーが未成年者、成年被後見人、被保佐人又は被補助人である場合には、親権者又は法定代理人から同意を得る必要があります。

プライバシーポリシーは、個人情報保護法で求められる公表等の義務を果たすために作成されるものであるため、そこで規律される情報の範囲は、基本的にユーザーの個人情報を対象とします。

ただし、ユーザーにとっての分かりやすさを重視する観点から、情報単体では特定のユーザーを認識できない利用者情報もプライバシーポリシーで規律される情報の範囲に含める場合があります（この場合、個人情報を取り扱う事業者は、個人情報保護法に定める義務以上の負担を自ら負担した形になります。）。

個人情報保護法上、個人情報を取り扱う事業者は、ユーザーから個人情報を取得した場合には、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならないとされています。

そのため、プライバシーポリシーで個人情報の利用目的を定めることが重要となります。

利用目的については、できる限り、具体的に定める必要があり、その例としては、次のようなものがあります。

【利用目的の具体例】

商品の発送

商品の発送に伴うアフターサービス

新商品又は新サービスに関する情報のお知らせ

また、利用目的として不適切な例としては、次のようなものがあります。

【利用目的として不適切な例】

事業活動に用いるため

マーケティング活動に用いるため

なお、取得の状況からみて利用目的が明らかであると認められる場合（サービスの提供をするに当たって住所、電話番号等の個人情報を取得する場合）等一定の場合には、個人情報の利用目的の通知又は公表は、求められません。

個人情報保護法では、次のいずれかに該当するときは、個人情報を取り扱う事業者は、本人の同意を得ることなくその個人情報を利用することができるとされます。

(1)法令又は条例に基づく場合

（具体例）⇒令状に基づく捜査

(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

（具体例）⇒緊急事態に際し本人の血液型及び家族の連絡先を医師に提供する場合

(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

（具体例）⇒児童虐待に関する情報を児童相談所に提供する場合

(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

（具体例）⇒警察の任意の求めに応じ本人の個人情報を提供する場合

(5)個人情報取扱事業者が学術研究機関等である場合であって、個人情報を学術研究目的で取り扱う必要があるとき（その個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）。

(6)学術研究機関等に個人データを提供する場合であって、その学術研究機関等が個人データを学術研究目的で取り扱う必要があるとき（その個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）。

個人データを第三者に適用する場合には、個人データを取り扱う事業者は、原則、本人からその同意を得ること並びに個人データの提供者及び受領者が確認記録義務を履行することが必要となり、個人情報を取り扱う事業者にとっては負担となります。

そのため、事業上、個人情報を取り扱う事業者が個人データを第三者に提供することが難しいとも思えます。もっとも、個人情報保護法上、次の3つのいずれかの手法を使う場合には、本人から同意を得ることなく個人データを第三者に提供することができ、特に(1)及び(2)については、実務上使われることが多い手法といえます。

(1)業務委託

商品の送付のため宅配業者に個人データを提供する場合、決済手続のために決済代行事業者にクレジットカード情報を管理させる場合等個人情報を取り扱う事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を第三者に委託する場合

(2)共同利用

フランチャイズの本部と加盟店の間で個人データのやり取りを行う場合等特定の者との間で個人データが共同利用される場合

なお、共同利用の場合には、個人データを共同利用する旨並びに共同利用される個人データの項目、共同利用する者の範囲、利用する者の利用目的及びその個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くことが求められているため、個人データを共同利用するときは、プライバシーポリシーにこれらの事項を規定することを検討します。

(3)事業承継

合併、分社化、事業譲渡等により事業が承継されることに伴い、その事業に係る個人データが提供される場合

なお、事業承継の場合における承継先での個人データの利用範囲は、承継元で利用していた範囲に限定されます。

個人情報保護法では、個人情報を取り扱う事業者は、保有個人データについての安全管理措置の内容を本人の知り得る状況に置くか、又は本人の求めに応じて遅滞なく回答する必要があるとされているため、プライバシーポリシーにその安全管理措置の内容を規定することを検討することになります。

ただし、安全管理措置の内容を明らかにすることにより、保有個人データの安全管理に支障を及ぼすおそれがあるときは、個人情報保護法施行令の規定により、上記の対応をする必要がないとされます。

なお、次のような区分けにより個人情報保護委員会のガイドラインにおいて個人情報を取り扱う事業者が講ずべき安全管理措置の内容が示されています。

(1)個人データの取扱いに係る規律の整備

(2)組織的安全管理措置

(3)人的安全管理措置

(4)物理的安全管理措置

(5)技術的安全管理措置

(6)外的環境の把握

もっとも、上記の内容は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含みます。）、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきものであるため、必ずしも上記の内容の全てを個人情報を取り扱う事業者が講じなければいけないわけではありません。

個人情報保護法では、個人情報を取り扱う事業者には、保有個人データの利用目的の通知、訂正、開示等への対応義務が課された上で、これらに関する手続方法を本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含みます。）に置かなければならないため、プライバシーポリシーへその手続方法を規定することを検討することになります。

なお、個人情報を取り扱う事業者は、本人又は代理人による(1)保有個人データの利用目的の通知及び(2)保有個人データの開示の請求について、合理的な範囲で手数料を徴収することができ、手数料を徴収するときは、あらかじめプライバシーポリシーでその具体的な取扱いを規定する必要があります。

また、個人情報を取り扱う事業者は、本人又は代理人から保有個人データの開示の請求があったときは、原則、その本人又は代理人が請求した方法によりその開示を行う必要があります。

例えば、本人がデータでの開示を請求したときは、個人情報を取り扱う事業者は、データにより保有個人データを開示する必要があります。

なお、ここにおける利用目的の通知、訂正、開示等の対象は、「個人情報」ではなく、あくまでも「保有個人データ」となるため、例えば、データベース化した本人の顔写真については、こちらの対象になりますが、データベース化されていない本人の顔写真については、こちらの対象外となります。

もっとも、プライバシーポリシーに「保有個人データの利用目的の通知、訂正、開示等」ではなく、「個人情報の利用目的の通知、訂正、開示等」と規定すれば、データベース化されていない本人の顔写真についても、こちらの対象となります。

個人情報保護法及びその施行令では、個人情報を取り扱う事業者が行う個人情報の取り扱いに関する苦情の申出先を本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含みます。）に置かなければならないため、プライバシーポリシーへ苦情の申出先としてお問い合わせ窓口を規定することを検討することになります。

実務的には、お問い合わせ窓口専用のオンラインフォーム、メールアドレス、電話番号等を掲載して対応することが多いといえます。

Google Analyticsの利用等Cookieを利用して、利用者の端末から利用者以外の者のサーバーへ利用者に関する情報を外部送信する場合には、電気通信通信事業法等により、次の情報を事前に利用者に通知し、又は知り得る状態に置く必要があるため、次の情報をプライバシーポリシーに規定することがあります。

(1)外部送信される利用者に関する情報の内容

(2)(1)の情報を取り扱う者の氏名又は名称

(3)(1)の情報の利用目的

なお、個人情報保護法においては、データ・マネジメント・プラットフォーム（DMP）を運営する第三者からCookieにより収集されたウェブサイトの閲覧履歴、趣味嗜好、性別等を取得し、これらを本人の個人データと結びつけた上で広告配信等の目的で利用する場合には、本人から直接に同意を得る必要があるとされます。

プライバシーポリシーの変更については、随時行える形にすることが多いといえます。ただし、その変更に伴い新たな個人情報の利用目的を追加した場合でも、既に取得済みであった個人情報については、事前に公表等をしていた利用目的の達成に必要な範囲を超えて取り扱えない点に注意が必要です。

プライバシーポリシーを作成しない形で個人情報保護法に定める公表等の義務を履行できるのであれば問題ありませんが、そうでなければ、個人情報保護委員会による勧告又は命令の対象となり、命令に違反した場合は、刑事罰の対象となり得ます。

（プライバシーポリシー作成の場合）

33,000円（税込）～

＋実費

（プライバシーポリシーチェックの場合）

5,500円（税込）～

＋実費